GDPR a intrat in vigoare la data de 25 mai 2018
- Este un nou set de reguli si directive prin care Consiliul European, Comisia Europeana si Parlamentul European au unificat legislatia care priveste securitatea datelor noastre personale.
- Acest act unic de protectie a datelor a presupus schimbari majore in toate legile de confidentialitate de pe teritoriul Europei care a inlocuit vechea “Directiva privind Protectia Datelor”
Oriunde te-ai afla în lume, daca vinzi bunuri cetățenilor UE sau le procesezi datele personale, trebuie sa te conformezi GDPR. fie că opereaza pe teritoriul UE sau nu, aplicandu-se atat societatilor comerciale cat si institutiilor publice.
- Una dintre obligatiile cuprinse în Regulamentul general privind protecţia datelor este desemnarea unui Responsabil cu protectia datelor (DPO) Data Protection Officer.
Rolul principal al unui Responsabil este acela de a asista si sfatui “Împuternicitul Operatorului de date” cu privire la conformitatea cu Regulamentul, si de a se asigura de aplicarea prevederilor în cadrul institutiei. Este obligat sa tina un registru cu toate activitatile de prelucrare a datelor desfasurate de companie, care implica date personale.
- Registrul trebuie să includa informatii explicative legate de scopul activitatilor de prelucrare, iar acestea trebuie sa fie accesibile pentru oricine.
- Responsabilii cu protecţia datelor sunt desemnati de catre operatorii de date si împuternicitii acestora în situatia în care acestia sunt o autoritate publica, activitatile lor necesita monitorizarea regulata a persoanelor vizate , atunci când informatia contine date sensibile cum ar fi infractiuni.
- Acestia trebuie să aiba un anumit grad de independenta în cadrul organizatiei si sunt legatura dintre aceasta si autoritatea de supraveghere sau persoanele vizate, uneori apelandu-se la terti prin externalizarea acestui serviciu.
Contraventii privind incalcarea GDPR
In cazul contraventii GRPR-ului exista doua abordari in functie de gravitatea, durata si natura incalcarii :
Nivelul 1) 2 % din cifra de afaceri globala sau 10 milioane de euro alegandu-se care este mai mare
- Compania nu a avut desemnat un GPO
- Compania nu a avut un grad de securitate adecvata
- Nu a fost stabilit un acord de prelucrare a datelor
Nivelul 2 ) 4 % din cifra de afaceri globala sau 20 de miloane de euro, alegandu-se care este mai mare
- Cand s-au incalcat drepturile persoanelor vizate
- Pentru transferuri internationale neconforme
- Pentru incalcarea principiilor de prelucrare a datelor
Pentru a respecta GDPR in 3 pasi simpli:
1 ) Utilizarea tutoror produselor software cu licenta, windows, office si altele actualizate la ultima versiune, cu posibilitatea de criptare a bazelor de date in cazul softurilor de gestiune, cu backup automat si cu acces autorizat limitat ca durata, in functie de utilizator.
2) Componentele hardware sa nu fie mai vechi de 5 ani, sa fie redundante, sa se evite alterarea sau pierderea de date din cauza erorilor fizice a echipamentelor.
Regula 3-2-1 presupune să pastrezi cel puțin :
- 3 copii ale datelor pe / in (SSD, HDD, Cloud)
- 2 copii de rezervă sa fie stocate pe diferite medii ( DVD, Tape )
- 1 dintre ele amplasat în afara locației ( recomandat intr-o zona de backup “Disaster Recovery”
Utilizarea unei solutii de securitate complexe profesionale constand in antivirus + firewall, nu solutii gratuite!
3) Analiza fluxurile interne si evidentierea zonele care necesita in mod specific atentie pentru protectia datelor
- Informarea angajatilor, clientilor sau pacientilor cu privire la prelucrarea datelor personale
- Semnarea de conventii privind prelucrarea datelor cu caracter personal cu toate entitatile implicate in schimburile de date sau care au acces la datele afacerii dumneavoastra.
- Informarea periodica a modificarilor ce se aduc in legislatia GDPR.